O custo

da inação
Um guia do CISO para fazer com que conselhos
administrativos invistam em segurança cibernética
O custo da inação
Como CISO, ninguém entende os riscos
à segurança que sua organização enfrenta
melhor do que você. Você tem a experiência
técnica para apreciar profundamente as
ameaças atuais e como elas se comparam
com as vulnerabilidades da sua organização.
E você está ciente de que o custo médio
de uma violação continua subindo, atingindo
um pico histórico de USD 4,35 milhões em 2022.
Mas você também sabe como esses riscos
se encaixam nas dificuldades mais amplas dos
negócios. Você aprendeu a trabalhar diante
da incerteza econômica, da pressão para fazer
mais com menos e de uma escassez de talentos
que o levou à qualificação e à requalificação.
Em meio a todos esses desafios, a segurança
cibernética assumiu uma nova urgência, mesmo
entre os conselhos corporativos. Como resultado,
os CISOs encontraram maior acesso e influência
nas organizações (com alguns até mesmo
assumindo funções de CIOs), e muitos estão
sob pressão para apresentar diretamente aos
conselhos seus argumentos para investimentos
necessários em segurança cibernética. Então,
como elaborar uma argumentação forte?
O conselho tem o poder de definir prioridades que
podem colocar sua organização sobre uma base
sólida de segurança. Mas pouco menos de 2% dos
membros do conselho, em média, têm experiência
relevante e recente em segurança cibernética.
E muitos membros do conselho não se sentem
confiantes em supervisionar a TI e a segurança
ou têm visões ambivalentes sobre o papel
do conselho em relação à segurança.
2
Menos de 2% dos membros
do conselho, em média,
têm experiência relevante
e recente em segurança
cibernética.
A boa notícia é que há um enorme
potencial para obter a adesão aos
investimentos em segurança da maioria
dos conselhos. As principais prioridades
de um conselho típico, em relação a
risco, reputação e estabilidade financeira,
alinham-se de maneira forte e orgânica com
resultados de segurança bem-sucedidos.
Se conseguir ligar os pontos entre essas
prioridades e resultados, você estará no
caminho certo para criar uma apresentação
forte e focada no ROI. Este guia ajudará
você a desenvolver o contexto e a
abordagem corretos, mostrando como:
• Pensar como um membro do conselho
• Falar como um membro do conselho
• Usar exemplos reais para tornar
os riscos relacionáveis e relevantes
O custo da inação 3

Pensar como um
membro do conselho
Seu conselho pode estar mais atento à segurança do que você imagina.
O custo da inação 4

A segurança agora está surgindo nas conversas do conselho com muito mais
frequência. Mais de dois terços dos conselhos dizem que agora discutem a segurança
cibernética de forma regular ou constante, e 77% dos membros do conselho
acreditam que a segurança cibernética é uma das principais prioridades do conselho.
E embora a experiência em segurança cibernética possa ser rara entre os membros
do conselho, a experiência em tecnologia geral tornou-se mais comum. Nas
empresas líderes, 79% dos conselhos têm pelo menos um membro com experiência
em tecnologia e, em 72% dessas empresas, os líderes de tecnologia frequentemente
interagem com diretores do conselho fora das reuniões.

Tudo isso é promissor para os CISOs. No entanto, ainda é uma aposta segura falar menos
sobre a tecnologia e mais sobre o panorama geral do gerenciamento de riscos e da
reputação das empresas. Independentemente dos conhecimentos técnicos, todo membro
do conselho pode discutir e pensar de forma confortável sobre os riscos, seja encontrando
o nível certo de tolerância a riscos ou avaliando planos de gerenciamento de riscos.

A segurança cibernética consiste

em assumir os riscos certos, não
escolher a tecnologia certa."

Ao entrar na mentalidade do conselho, comece a criar um consenso sobre

o estado atual da sua organização:

• Segundo os membros do conselho, quais são seus ativos mais importantes?

São os dados dos clientes, o IP da empresa, sua marca ou outra coisa?

• Segundo eles, quais são os riscos mais ameaçadores?

• Quais são as prioridades mais urgentes da organização?

• Quais objetivos a empresa precisa alcançar e como seu programa

de segurança pode ajudar a possibilitá-los?

Fundamentar a discussão nesses conceitos básicos cria a perspectiva certa.

Você pode ajudar o conselho a entender que a segurança cibernética consiste
em assumir os riscos certos, não escolher a tecnologia certa.
O custo da inação 5

Falar como um
membro do conselho
Tenha as ideias a seguir em mente ao falar
com seu conselho, seja em apresentações
ou em comunicações menos formais.
O custo da inação 6

Fale sobre negócios,

não sobre tecnologia.
Use exemplos e ilustrações apropriados para especialistas em negócios
interessados, não especialistas técnicos. Recorra ao Bloomberg Businessweek
ou ao Wall Street Journal para obter inspiração sobre o nível certo de detalhes
para apresentar conceitos de segurança. (Uma notícia recente sobre uma
violação também pode ser um ótimo ponto de partida para a discussão,
pois você descreve como ela poderia ter acontecido na sua própria empresa.)
Encontre alguém confiável fora da sua organização de segurança para
fornecer comentários sobre a complexidade das suas comunicações.

Atue como um guia

imparcial e facilitador.
Um bom programa de segurança requer um equilíbrio, ou seja, definir
um nível aceitável de risco para perseguir os objetivos de negócios, e você
pode ajudar a promover essa mentalidade. Desmistifique as desvantagens
para os membros do conselho e oriente-os nas decisões, em vez de prescrever
soluções como uma autoridade.
O custo da inação 7

Concentre-se no ROI,
especialmente em termos
de relevância estratégica.
Mostre sempre como suas iniciativas de segurança se alinham com as necessidades de
negócios e as prioridades de longo prazo. Considere os principais objetivos estratégicos
da sua organização, sejam eles a expansão global, uma nova plataforma de clientes ou
a transformação digital, e forneça um contexto que demonstre como os investimentos
certos em segurança cibernética possibilitam e protegem esses objetivos.

Desmistifique as desvantagens para

os membros do conselho e oriente-
os nas decisões, em vez de prescrever
soluções como uma autoridade.”

Foque nas oportunidades,

não nos custos.
A segurança (e a TI de forma mais ampla) pode sofrer por ser vista como
simplesmente um centro de custos necessário. Continuar a incentivar sua
equipe a encontrar maneiras de ser mais proativa pode ajudar a resolver isso,
mas você também pode defender o papel que a segurança pode desempenhar
como facilitador de negócios. Os CISOs que mostram como a segurança pode
impulsionar a receita, por exemplo, quantificando o valor dos contratos e dos
clientes em relação aos gastos com controles, provavelmente encontrarão
um público mais receptivo.
O custo da inação 8

Esteja pronto com

métricas e benchmarks.
O clichê comercial de que "Você não pode melhorar o que não pode medir"
pode ter suas falhas, mas métricas cuidadosamente selecionadas ainda podem
ser uma evidência poderosa para os conselhos. Escolha métricas que mostrem
a maturidade e o progresso do programa com o passar do tempo (como métricas
sobre o treinamento de conscientização sobre a segurança ou a eficácia dos
procedimentos de segurança) e como sua organização se compara com as outras.
Essas métricas de maturidade geralmente serão mais significativas (e acionáveis)
para membros do conselho do que métricas sobre performance ou atividade, que
podem ser mais ruidosas e exigir um contexto mais técnico. As métricas também
podem ajudá-lo a demonstrar o ROI e um orçamento prudente. Por exemplo,
é uma boa ideia ficar atento em como seus gastos proporcionais em diferentes
áreas de segurança acompanham organizações comparáveis.1

Descreva os riscos de
maneiras que os tornem reais.
Concentrar-se demais no medo é, normalmente, um beco sem saída para
motivar o suporte e a ação positiva. Mas o exemplo certo ou um incidente real
podem ser extremamente eficazes para comunicar a complexidade e o risco,
sem exagero ou negatividade. Procure exemplos com detalhes relevantes para
sua indústria ou organização ou que ilustrem cenários prováveis, como risco
interno ou ransomware. (Veja a seção a seguir para obter ideias.)

1
Planning Guide 2023: Security & Risk, Forrester, 2023
O custo da inação 9

Usar exemplos
reais para
tornar os riscos
relacionáveis
e relevantes
Os ataques de risco interno
e ransomware continuam a ser
ameaças proeminentes para muitas
organizações, o que os torna úteis para
ilustrar riscos tangíveis e abordáveis.
Ao apresentar aos membros do
conselho incidentes reais como esses,
você pode ajudá-los a entender melhor
esses tipos de ataques, os possíveis
impactos envolvidos e quais tipos
de investimentos em segurança
cibernética podem fazer a diferença
em futuros ataques semelhantes.
O custo da inação 10

Exemplo de incidente de risco interno:

Roubo de dados por funcionários

Janeiro-Março de 2017

O que aconteceu?

Um funcionário de uma grande organização de saúde do Reino Unido roubou dados

referentes a quase 500.000 clientes para vender na Dark Web, incluindo nome, data
de nascimento, nacionalidade, número de associação, endereço de email e número
de telefone. O funcionário obteve acesso às informações por meio do sistema de CRM
da organização, copiando os registros em massa e, em seguida, excluindo-os dos
bancos de dados. Os clientes não foram notificados até dois meses após o incidente.

Qual foi o impacto nos negócios?

Os reguladores do Reino Unido multaram a organização em £ 175.000, afirmando

que a empresa falhou em tomar "medidas técnicas e organizacionais apropriadas
contra o processamento não autorizado e ilegal". Isso inclui o monitoramento
de rotina que poderia ter detectado atividades incomuns, como extração de dados
em massa. Em um comunicado, a organização disse que, desde então, "introduziu
medidas de segurança adicionais para ajudar a evitar a recorrência desse incidente,
reforçou os controles internos e aumentou as verificações de clientes."

O que pode ser feito de forma diferente para evitar ataques semelhantes no futuro?

O gerenciamento de riscos internos, tanto acidentais quanto mal-intencionados,

pode ser desafiador. Você precisa analisar milhões de sinais diários para detectar
ações de usuários potencialmente arriscadas, mas sem comprometer a produtividade
ou a privacidade. Tudo isso ficou mais difícil com a proliferação de dados digitais
e o aumento do trabalho remoto e híbrido.

A automação e o machine learning podem ajudar a correlacionar uma ampla gama

de sinais para identificar possíveis riscos internos. Assim, você pode identificar
e agir rapidamente em relação a eles. Ainda mais importante é ter uma estratégia
de proteção holística dos dados entre pessoas, processos, treinamentos e ferramentas.
O custo da inação 11

Exemplo de incidente de ransomware:

Ataque do LockerGoga
Março de 2019

O que aconteceu?

Uma das maiores empresas de alumínio do mundo foi atacada com o

LockerGoga, uma forma de ransomware. O ataque bloqueou os arquivos
em milhares de servidores e PCs, postando uma nota de resgate nas telas
dos computadores corrompidos. O processo de ataque começou três meses
antes, quando um funcionário inadvertidamente abriu um email infectado
de um cliente confiável. Isso permitiu que os hackers invadissem a infraestrutura
de TI e plantassem secretamente seu vírus.

Qual foi o impacto nos negócios?

Todos os 35.000 funcionários da organização em 40 países foram afetados.

As linhas de produção pararam em algumas das 170 fábricas. Outras instalações
alternaram do computador para operações manuais. O impacto financeiro
eventualmente se aproximaria de USD 71 milhões.

O que pode ser feito de forma diferente para evitar ataques semelhantes no futuro?

A resposta rápida e transparente da empresa foi amplamente elogiada. Ela optou

por não pagar o resgate, ser totalmente aberta sobre a violação e chamar a Equipe
de detecção e resposta da Microsoft (DART), que oferece suporte a empresas sob
ataque. Mas, para evitar ataques semelhantes no futuro, os membros da DART
descreveram como a combinação certa de pessoas, processos e tecnologia pode
ajudar. Essa abordagem inclui implementar a autenticação multifatorial, ter um
processo de atualização maduro, fazer backup de dados e aumentar o treinamento
de conscientização sobre a segurança entre os funcionários.
O custo da inação 12

Elaborar a
argumentação
As ideias e os exemplos discutidos neste e-book podem
ajudá-lo a moldar sua apresentação para o conselho. Mas,
em última análise, é claro que você precisará escolher a
estrutura e os detalhes certos com base nos investimentos
de que precisa. As ideias a seguir podem ajudar a explorar
o que pode funcionar melhor com seu conselho específico.
O custo da inação 13

• Não tenha medo de experimentar abordagens diferentes.

Por exemplo, exercícios de simulação e outras simulações de cenário podem ser
uma experiência poderosa para educação e engajamento, ou talvez você queira
trazer um especialista em segurança externo para falar.

• Converse com colegas da diretoria executiva para obter comentários

e suporte.
Seu CEO e outros executivos podem ser inestimáveis para obter insights sobre
determinados membros do conselho ou problemas recorrentes. Eles também
podem fortalecer seus argumentos se os membros do conselho verem que os
líderes em toda a organização apoiam os investimentos que você está propondo.

• Mantenha as linhas de comunicação abertas.

Tente criar conexões com um ou mais membros do conselho fora das
atualizações trimestrais ou anuais, especialmente com aqueles que têm
experiência em tecnologia ou segurança. Eles podem ajudar a defender suas
visões quando você não estiver presente e até mesmo ajudá-lo a ajustar melhor
suas apresentações.

No final, os CISOs têm muitos motivos para ter confiança neste momento. Mais
membros do conselho do que nunca estão ativamente buscando orientação
sobre segurança cibernética. E muitos desenvolvimentos tecnológicos conversam
diretamente com as preocupações do conselho com o custo e o ROI, desde os
avanços na automação e IA até o potencial de soluções de segurança integradas
para reduzir a complexidade e o custo.

Procurando um lugar para começar?

Use o seguinte guia de discussão para pensar em como a maturidade de SecOps
pode ajudá-lo a enquadrar uma conversa com os membros do conselho.
O custo da inação 14

Como usar a maturidade

de SecOps para iniciar uma
discussão com os membros
do conselho
Quer saber por onde começar com os membros do conselho
ao falar sobre riscos à segurança cibernética? A maturidade OTIMIZADA
das operações de segurança pode ajudar a fornecer uma
estrutura para discussões mais produtivas.

Reserve algum tempo para falar sobre cada uma das cinco áreas
de SecOps a seguir com sua equipe de liderança em segurança.
Se você puder entender melhor onde sua organização se
encontra no espectro de maturidade para cada área, poderá
identificar lacunas e pontos fortes, e com isso em mãos, fazer
solicitações mais específicas para o seu conselho administrativo.
AVANÇADA
Por exemplo, em Triagem, uma organização na extremidade
Básica do espectro pode não estar usando a automação
ainda para investigar e corrigir incidentes de alto volume ou
repetitivos. Uma organização Otimizada em Triagem pode usar
serviços e ferramentas de orquestração, automação e resposta
de segurança (SOAR) para automatizar a prevenção e a resposta
a ataques cibernéticos. Ao retornar à ideia de risco aceitável em
relação a diferentes ameaças, você pode ajudar seu conselho
a avaliar melhor onde sua organização deve estar nesse
continuum. BÁSICA

Confira a ferramenta de autoavaliação completa para obter

mais detalhes.
 O custo da inação 15

Com que rapidez podemos avaliar alertas, definir

prioridades e encaminhar incidentes para nossos
Triagem membros da equipe do centro de operações de
segurança resolverem?

Questões de discussão para sua equipe de liderança em segurança:

Temos a abordagem Devemos usar mais Estamos fazendo

certa para priorizar automação para o suficiente para
incidentes e alertas investigar e corrigir gerenciar a exaustão
de ameaças? incidentes de alto de alertas?
volume ou repetitivos?

Com que rapidez podemos determinar se um

Investigação alerta indica um ataque real ou um alarme falso?

Questões de discussão para sua equipe de liderança em segurança:

Quantas ferramentas
Como podemos Como usar ferramentas
de segurança no total
consolidar e correlacionar de detecção e
os nossos analistas usam
todas as nossas fontes investigação focadas
para a investigação de
de dados (por exemplo, em identidade, pontos
incidentes (incluindo
com um SIEM ou outras de extremidade, email
produtos ou portais
ferramentas)? e dados, aplicativos de
de fornecedores e
SaaS ou infraestrutura
ferramentas ou scripts
de nuvem?
personalizados)?
 O custo da inação 16

Como procurar adversários que tenham escapado

Busca das nossas defesas primárias e automatizadas?

Questões de discussão para sua equipe de liderança em segurança:

A busca de ameaças Temos os processos e Nossa equipe de busca

proativa precisa ser as ferramentas certos tem tempo suficiente
uma parte maior da para ajudar a detectar para refinar alertas a
nossa estratégia de e gerenciar ameaças fim de aumentar as
segurança? internas? taxas de verdadeiros
positivos para as
equipes de triagem?

Como coordenar a resposta por funções técnicas,

Gerenciamento operacionais, de comunicações, legais e de
de incidentes governança?

Questões de discussão para sua equipe de liderança em segurança:

Temos um processo O processo envolve Estamos realizando

de gerenciamento de as equipes certas, exercícios regulares
crises eficaz para lidar incluindo liderança suficientes para praticar
com incidentes de executiva, jurídica, e refinar esse processo?
segurança importantes? comunicações e
relações públicas?
 O custo da inação 17

Como estamos usando a automação para

Automação poupar tempo dos nossos analistas, aumentar
a velocidade de resposta e reduzir os workloads?

Questões de discussão para sua equipe de liderança em segurança:

Como estamos Até que ponto Estamos aproveitando

usando a automação podemos orquestrar a automação fornecida
fornecida ou mantida ações automatizadas pela comunidade?
por fornecedores para em diferentes
reduzir o workload de ferramentas?
investigação e correção
dos analistas?

© 2023 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no estado em
que se encontra". As informações e as opiniões expressas aqui, incluindo URLs e outras referências a sites,
podem ser alteradas sem aviso prévio. Você assume o risco de utilização. Este documento não concede
a você direitos legais sobre a propriedade intelectual de nenhum produto da Microsoft. Você pode copiar
e usar este documento para referência interna.